Trên không gian mạng có nhiều cách thức tấn công khác nhau, để đảm bảo việc có thể bao phủ hết các trường hợp cũng như có một quy chiếu chuẩn đến các kịch bản tấn công thì ta thường đối chiếu đến các thư viện theo quy chuẩn quốc tế. Ở đây, ta có MITRE ATT&CK với hơn 200 kĩ thuật tấn công dành cho máy tính doanh nghiệp và cho di động.
22
Hình 2.10.Giao diện trang web MITRE Att&ck
Hiện có rất nhiều hệ thống UEBA trên thế giới đã và đang sử dụng tham chiếu đến bộ kiến thức này. Ngoài ra, các hệ thống này không chỉ dừng lại ở việc phát hiện, mà còn thiết lập các cơ chế bảo vệ, phản hồi, ngăn chặn tấn công. Điều này giúp cải thiện khả năng phòng thủ và giảm thiểu chi phí nhân lực.
Aruba Introspect là một hệ thống phát hiện, ưu tiên, nghiên cứu và phản hồi lại các cuộc tấn công nội bộ mà có khả năng tránh được các phương pháp bảo vệ truyền thống. Introspect đã ứng dụng hàng trăm mô hình học máy trên khắp các người dùng, máy chủ và các hành vi của ứng dụng nhằm xác định những cảnh báo có độ ưu tiên cao nhất. Những tính năng nổi bật như: thu thập và phân thích mọi thứ từ các gói tin và các luồng xử lý tới các log dữ liệu và cảnh báo; phát hiện các cuộc tấn công cử chỉ từ người dùng cẩu thả hoặc bị xâm phạm, thiết bị IoT và hệ thống độc hại; các mô hình học máy giúp phát hiện tấn công như ransomware; và ngăn chặn tấn công tự động.
Cynet 360 là một nền tảng bảo vệ lộ lọt thông tin tự động cho an ninh doanh nghiệp. Giải pháp này giám sát và phân tích các hành vi và các chỉ số tương tác rộng khắp các điểm cuối, người dùng, lưu lượng mạng và những tệp để xác định những kẻ tấn công. Những tính năng nổi bật như: phát hiện điểm cuối và phản hồi; giám sát mạng lưới và điều khiển; điều phối các phản hồi; phân tích mạng lưới; quét các thành phần có khả năng bị xâm phạm.
Exabeam Advanced Analytics cung cấp nền tảng SIEM tích hợp với sản phẩm độc lập, bao gồm UEBA, quản lý log, phản hồi sự cố và truy vấn. Trên bảng điều khiển của sản phẩm cung cấp một cái nhìn tổng quan về các mối đe dọa trên
23 môi trường giám sát, bao gồm các trường hợp chưa xử lý và những người dùng khả nghi liên quan. Những tính năng nổi bật như: mô hình dữ liệu theo phiên; đánh điểm rủi ro, phát hiện ransomware; dòng thời gian của các phiên làm việc; đánh độ ưu tiên của các cảnh báo.
ForcePoint là một công ty cung cấp giải pháp giám sát hành vi người dùng cho các tổ chức lớn và chính phủ với hơn 20 năm trong ngành. Được sáng lập từ năm 1994, sau đó được Raytheon mua lại với giá 1.9 tỷ đô la. Nền tảng này cho phép các đội an ninh thông tin học những dữ liệu đã tồn tại và chủ động giám sát các hành vi có rủi ro cao thông qua việc thu thập và phân tích dữ liệu từ nhiều nguồn, bao gồm cả nền tảng truyền thông và thiết bị bảo mật, để cung cấp ngữ cảnh cho các hành vi người dùng khác nhau. Dòng thời gian của thực thể cho phép bạn xây dựng lại chuỗi sự kiện dẫn đến điểm rủi ro cao.
Fortinet FortiInsight cung cấp khả năng phản hồi và phát hiện tự động để bảo vệ tổ chức từ những mối đe dọa bên trong. Tận dụng công nghệ học máy và phân tích nâng cao, FortiInsight xác định những hành vi không tuân thủ, đáng ngờ hoặc bất thường và nhanh chóng cảnh báo bất kỳ tài khoản người dùng nào bị xâm phạm. FortiInsight là một công cụ dựa trên các luật nhằm xác định các hành vi vi phạm chính sách, truy cập và trích xuất dữ liệu trái phép và các tài khoản bị xâm phạm. Gurucul cung cấp ba loại hình phân tích bảo mật dựa trên Công cụ dự đoán hành vi bất thường dựa trên thực thể (PIBAE): UEBA, phân tích danh tính và bảo mật đám mây. Công cụ này tạo ra các đường cơ sở về hành vi có thể tương quan chéo giữa các nhóm ngang hàng khác nhau. Nó sử dụng thông tin này để phát hiện, xếp hạng, khắc phục và ngăn chặn hoạt động bất thường.
LogRhythm UEBA phát hiện các mối đe dọa dựa trên người dùng đã biết và chưa biết bằng cách áp dụng học máy và phân tích hoàn cảnh cho tới bề ngoài. Sau đó, nó ưu tiên các mối đe dọa theo mức độ nghiêm trọng của chúng. Nó cung cấp đầy đủ các phân tích bảo mật bằng cách sử dụng cả các kỹ thuật dựa trên kịch bản và dựa trên hành vi. LogRhythm tăng cường môi trường bảo mật tổ chức, hoạt động như một sản phẩm UEBA độc lập hoặc như một tiện ích bổ sung cho SIEM hoặc các giải pháp quản lý log hiện có.
Microsoft Azure Advanced Threat Analytics (ATA) là một giải pháp bảo mật dựa trên đám mây sử dụng các tín hiệu thư mục hoạt động tại phần cứng nội bộ (on-premises) để xác định, phát hiện và điều tra các mối đe dọa nâng cao, người dùng bị xâm phạm và các mối đe dọa nội bộ. Sau khi mua lại Aorato, Microsoft đã giới thiệu Advanced Threat Analytics cho Enterprise Mobility Suite và cung
24 cấp nó như một sản phẩm độc lập vào năm 2015. Microsoft ATA chỉ có sẵn để triển khai tại phần cứng nội bộ.
One Identity Safeguard cho Privileged Analytics cung cấp các giải pháp quản lý danh tính, quản lý quyền truy cập và quản lý tài khoản đặc quyền. Nó xác định những người dùng có đặc quyền có rủi ro cao, theo dõi các hành vi đáng ngờ và phát hiện ra các mối đe dọa bằng cách sử dụng công nghệ phân tích hành vi của người dùng và cung cấp khả năng hiển thị đầy đủ. Nếu hoạt động đáng ngờ được phát hiện, Safeguard cho phép các nhà quản lý bảo mật CNTT thực hiện hành động ngay lập tức và có vị trí tốt để ngăn chặn các vi phạm dữ liệu tiềm ẩn.
Cortex XDR là một ứng dụng phát hiện, điều tra và phản ứng mối đe dọa tích hợp nguyên bản dữ liệu mạng, điểm cuối và đám mây. Nó phát hiện ra các mối đe dọa bằng cách sử dụng phân tích hành vi, tăng tốc điều tra với tự động hóa và ngăn chặn các cuộc tấn công trước khi thiệt hại được thực hiện thông qua tích hợp chặt chẽ với các điểm thực thi hiện có. Cortex XR cung cấp một cái nhìn tổng thể về các cuộc tấn công bằng cách lập mô hình hàng tỷ điểm dữ liệu từ các cảm biến mạng, điểm cuối và đám mây để nhóm các cảnh báo thành sự cố.
RSA NetWitness là một giải pháp UEBA theo hướng dữ liệu lớn, được xây dựng có mục đích. Tận dụng tính năng phát hiện bất thường thống kê không được giám sát và học máy cung cấp khả năng phát hiện các mối đe dọa không xác định dựa trên hành vi mà không cần điều chỉnh của nhà phân tích. RSA NetWitness kết hợp khả năng hiển thị với thông tin về mối đe dọa, bối cảnh kinh doanh và phân tích nâng cao. Nền tảng này cũng tích hợp đầy đủ khả năng tự động hóa, điều phối và phản hồi bảo mật, giúp các nhóm dễ dàng cộng tác trong các cuộc điều tra.
Securonix Security Analytics kết hợp SIEM, UEBA và khả năng phát hiện gian lận trong nền tảng của nó. Các thuật toán máy học được cấp bằng sáng chế của công ty đã giúp họ giành được vị trí hàng đầu trong danh sách các nhà cung cấp SIEM hàng đầu của chúng tôi. Securonix phân tích và lưu trữ nhật ký từ tất cả các nguồn dữ liệu và các nền tảng bảo mật khác, chẳng hạn như tường lửa và các công cụ Ngăn chặn mất dữ liệu (DLP). Nó sử dụng phân tích do AI điều khiển để gửi cảnh báo về các mối đe dọa có thể xảy ra và xây dựng các trường hợp cung cấp điểm số mối đe dọa sâu sắc.
Varonis cung cấp các sản phẩm quản lý, quản trị và bảo mật dữ liệu khác nhau, bao gồm cả giải pháp DatAlert UBA. Trọng tâm chính của nó là đảm bảo các công ty chống lại các mối đe dọa từ nội bộ. Nhìn chung, Nền tảng bảo mật dữ liệu Varonis được người dùng đánh giá rất cao về khả năng triển khai, khả năng
25 sản phẩm và hỗ trợ. Các tính năng bổ sung của Varonis bao gồm mô hình dự đoán mối đe dọa, tính điểm cảnh báo và máy thời gian bảo mật.
Các hệ thống phát hiện thực thể bất thường ra đời có nhiều ưu điểm hơn so với các hệ thống quản lý sự kiện trước đây, tuy nhiên vẫn còn có những vấn đề tồn đọng như vẫn có nhiều cảnh báo sai khi được cấu hình chưa chuẩn hoặc có quá ít dữ liệu để học cho trường hợp đó. Đây cũng là vấn đề chung của các hệ thống phát hiện bất thường, và đã có nhiều nghiên cứu về vấn đề này, các ý tưởng xoay quanh sử dụng: phương pháp phân cụm [18][19] để gom các thông tin cảnh báo giống nhau nhằm phát hiện nguyên nhân gốc, xây dựng bộ phân loại dựa trên các pattern [20], sử dụng các thuật toán như SVM hoặc decision tree [21], hoặc kết hợp cả mạng nơ ron và logic fuzzy [22]